SECURITY ONION: DISTRIBUCIÓN GNU/LINUX PARA ANÁLISIS DE RED

Muchas veces nos toca analizar el tráfico de red intercambiado entre una máquina e Internet, o incluso comprobar si un equipo tiene alguna variedad de malware que lleve a cabo actividad de red, ya sea para atacar a otras máquinas o para comunicarse con el C&C de una botnet.

En esas situaciones, o simplemente en un despliegue preventivo de sondas IDS, la distribución Linux opensource Security Onion,  de la que hablo en este post, puede servir de gran utilidad. 

Básicamente, incorpora de forma preinstalada, diversas herramientas ampliamente conocidas, un IDS comoSnort y/o Suricata (nos da a elegir qué herramienta deseamos usar), GUIs para monitorizar los eventos de forma automática (Squert, Sguil), herramientas específicas para análisis de PCAPs (Wireshark, NetworkMiner) y herramientas populares de análisis forense de red como (Bro o Xplico). De algunas de ellas hemos hablado ampliamente en SbD en vidas pasadas.

En muchas ocasiones, pensamos que puede resultarnos interesante montar y elegir qué herramientas queremos habilitar para nuestro despliegue de sondas, y generalmente cuando me preguntan o en diversas formaciones, recomiendo hacer siempre una instalación mínima e instalar las herramientas justas y necesarias para cada caso. 

Sin embargo, a veces la configuración de determinadas herramientas como Bro, o la integración con PF_RING, para entornos de grandes necesidades de tráfico, pueden resultar problemáticas, y se agradece tener un punto de partida desde el cuál empezar con varias herramientas ya integradas, pudiendo deshabilitar aquello que no nos interese, dejando el resto.

En estos casos, es cuando Security Onion me ha resultado de gran utilidad, puesto que en pocos minutos ya trae todo lo necesario y con un único wizard se configura la mayoría de los productos. 

Está basada en Ubuntu y viene con entorno gráfico, así como varias herramientas que se pueden gestionar vía web. 

Una de las herramientas más interesantes que trae es ELSA (Enterprise Log Search and Archive), que permite hacer la vida cómoda al analista, de forma gráfica, cuando tiene que interactuar con Bro.

Con esta solución, se puede llegar a hacer un buen NSM (o sistema de gestión de red) permitiendo configurar un nodo como servidor y el resto como sondas, de manera que se pueda consultar toda la información recopilada desde un mismo punto centralizado.   

Por buscarle una pega, en la última versión de Security Onion, han eliminado de la lista de herramientas una de las interfaces para Snort que más me gustan, que es Snorby. Aun así, supongo que puede seguirse instalando manualmente.

Y si ya tengo un despliegue de sondas hecho, pero me interesan algunas de Security Onion ¿Qué hago?

Bueno pues otra de las ventajas que tiene Security Onion, es que no es necesario que instales la distribución entera y partas de ella, sino que puedes incorporar únicamente los repositorios al sources.list de otra distribución basada en Debian/Ubuntu e instales aquellos paquetes que te interesan, o todos juntos.

Para el nuevo curso de Análisis Forense Digital en Profundidad que vamos a dar en Securízame, en el módulo I, en la parte en la que daré pautas sobre cómo construir un Laboratorio Forense, demostraré cómo incorporar y configurar las herramientas de Security Onion en una distribución específica para forense como es Caine, de la que ya hemos hablado en SbD.

Bajo estas líneas, os dejo una lista de videos de Security Onion, en el que hay un How-to de cómo hacer la instalación, configuración y parte de la operación. 

¿Conoces el ransomware o secuestro de dispositivos?

Los ciberdelincuentes cuentan con muchos modos diferentes de obtener dinero fácil a costa de los sufridos usuarios de las tecnologías actuales. Uno de ellos es el conocido como ransomware o secuestro virtual del dispositivo móvil o equipo informático y que presenta una elevada incidencia desde hace ya algún tiempo.

A través de algún programa malicioso que instalamos involuntariamente en nuestro dispositivo logran bloquearnos su uso e incluso llegan a cifrar toda su información de modo que no nos es posible recuperarla. A cambio de la solución técnica que nos libera del problema, los delincuentes nos piden dinero a modo de rescate pero además, el desembolso de este dinero no siempre supone la liberación del equipo, lo que implica incluso un timo por partida doble.

A través del estudio realizado a nuestros lectores comprobamos que este tipo de programa malicioso ha llegado ya a afectar a un gran volumen de usuarios.  El 11% de los encuestados ha llegado a ser víctima del ransomware lo que supone en números absolutos millones de personas que han visto bloqueado el uso de sus equipos y han puesto en peligro toda su información.

Seguramente no todos han llegado a pagar por su liberación, ya que en la mayoría de los casos existen medios más o menos complicados para solucionar el problema, pero seguro que son muchos los que ante la urgencia y el miedo a perder la información han decidido pagar. Además, en muchos casos, los delincuentes nos hacen creer que es la propia policía la que nos ha bloqueado el equipo por haber incurrido en algún delito en la Red, lo que hace que muchas personas decidan pagar porque realmente creen que se trata de algún tipo de sanción.

Pero lo realmente interesante del estudio es comprobar que más del 55 % de los usuarios ni conocen este tipo de amenaza ni han oído hablar de ella. El desconocimiento del riesgo es uno de los factores principales que utilizan los creadores de estos timos para aprovecharse de sus víctimas.

El solo hecho de conocer su existencia y el modo en que actúa no solo nos va a prevenir ante el riesgo de contraer la “infección”, sino que en el caso de padecerla, sabremos que nunca debemos pagar y que será conveniente buscar ayuda en Internet o confiar el equipo a algún experto.

¿Cómo prevenir el ransomware?

• El origen del problema siempre es la instalación inadvertida y silenciosa de un programa o aplicación malintencionada con los efectos dañinos descritos. Por tanto, debemos prestar mucha atención a lo que supone la descarga e instalación de cualquier archivo, aunque parezca inofensivo.
• La procedencia de ese archivo puede ser diversa. Puede llegarnos como adjunto en un correo electrónico normalmente de origen desconocido, puede proceder de alguna descarga en páginas de dudosa reputación, también en programas P2P o también como alguna aparente instalación necesaria en nuestro navegador para actualizarlo o cualquier otro pretexto.
• En el caso de teléfonos o tabletas, normalmente la infección se produce por permitir al teléfono instalar aplicaciones no oficiales o por instalar durante la navegación algún tipo de característica en el nevagador.
• Ante la facilidad con que se propaga este virus, uno de los mejores consejos que se pueden dar es realizar copias de seguridad periódicamente, porque la realidad es que en algunos casos nuestros archivos pueden verse afectados irreversiblemente.
• Es importante también mantener actualizados los sistemas operativos y resto de programas y aplicaciones. Los fabricantes incluyen mejoras de seguridad que no obtendremos si no actualizamos periódicamente.
• Un buen sistema de antivirus debidamente actualizado puede ser una importante medida de prevención.
• Nunca pagar el rescate, no debemos favorecer el desarrollo de esta amenaza, además, nunca estaremos seguros de si por medio del pago vamos a obtener la solución prometida.

Recuperación del equipo

Los virus capaces de secuestrar los equipos son muy variados y han evolucionado mucho con el tiempo. Además, según el sistema operativo del que se trate, actuará de un modo u otro.

En muchos casos, como en la mayoría de los que afectan a Windows, bastará conrestaurar el equipo a un estado anterior.

En el caso de Android la solución suele pasar por reiniciar el teléfono en modo seguro y desinstalar entonces la aplicación maliciosa.

No obstante, no es posible dar una “receta” válida para todos los casos y todos los tipos de dispositivos. Si nos vemos en esta desagradable situación, deberemos buscar información en Internet precisa para nuestro modelo o equipo y si no nos vemos capacitados, lo mejor es pedir ayuda alguien experto o confiarlo a algún servicio técnico.